Réponse aux vulnérabilités pour conteneurs

Gestion de la sécurité Yokohama

Release

yokohama

ft:locale

fr-FR

ft:publication_title

Gestion de la sécurité Yokohama

ft:clusterId

security

bundleId

security

workflow

Technology

Réponse aux vulnérabilités pour conteneurs

Rversion finale: Yokohama

Mis à jour 30 janv. 2025

11 minutes de lecture

L’application ServiceNow® Réponse aux vulnérabilités pour conteneurs importe les éléments vulnérables du conteneur (CVIT) et, en fonction des règles, vous permet de corriger les vulnérabilités du conteneur. Les données de vulnérabilité proviennent de sources internes et externes, telles que la base de données de vulnérabilité nationale (NVD) ou des intégrations tierces.

Demander des applications dans l'App Store

Visitez le site Web ServiceNow Store pour découvrir toutes les applications disponibles et pour obtenir des informations sur la procédure à suivre pour soumettre des demandes à la boutique. Pour obtenir des informations sur les notes de publication cumulatives pour toutes les applications publiées, consultez les ServiceNow Storenotes de publication relatives à l'historique des versions.

Tableau 1. Réponse aux vulnérabilités pour conteneurs

Explorer Découvrez les concepts et fonctionnalités de Container Vulnerability Response.

Configurer Configurez Container Vulnerability Response.

Intégrer Étendez Container Vulnerability Response en l’intégrant à d’autres applications.

Utiliser les espaces de travail Vulnerability Response Découvrez comment surveiller, gérer et corriger les CVIT dans les espaces de travail Gestionnaire des vulnérabilités, Rattrapage informatique et Évaluation des vulnérabilités.

Corriger Découvrez comment corriger les vulnérabilités des conteneurs.

Analyses et rapports Afficher l’analyse de Container Vulnerability Response

Référence Obtenez des détails sur les composants de Container Vulnerability Response tels que les champs, les tables et les propriétés.

Avantages

L’application Réponse aux vulnérabilités pour conteneurs offre les avantages suivants :

S’intègre à des produits de sécurité de conteneurs tiers, tels que Prisma Cloud Compute de Palo Alto Networks.
Importe les données de vulnérabilité des images déployées pour l’exécution et enrichit les données de vulnérabilité avec des informations contextuelles d’exécution (hôtes, grappes Kubernetes, services et espaces de noms).
Fournit une liste des références créées à partir des vulnérabilités vers les entités Kubernetes pertinentes lors de l’utilisation Base de données de gestion des configurations (CMDB)ServiceNow de Découverte Kubernetes.
Offre un tableau de bord de génération de rapports complet, fournissant des informations sur les tendances en matière de vulnérabilité et de rattrapage.

Fonctionnalités principales

L’application Réponse aux vulnérabilités pour conteneurs gère les vulnérabilités détectées dans les conteneurs. Il fournit les fonctionnalités suivantes :

Pointez vers l’image Docker source à partir de CVIT au lieu de conteneurs en cours d’exécution.
Configurez la granularité des CVIT à suivre au niveau de l’image, de la grappe Kubernetes, de l’espace de noms ou du service.
Suivez les nouvelles versions d’images pour identifier les vulnérabilités corrigées. Toutes les vulnérabilités signalées dans les anciennes versions sont automatiquement résolues lorsque ServiceNow de nouvelles versions d’image sont déployées au moment de l’exécution.
Suivez les CVIT dans les images de base séparément des images d’application pour permettre un rattrapage indépendant.
Émettez des demandes d’exception ou des demandes de faux positifs, qui peuvent être examinées par le biais d’un processus d’approbateur à plusieurs niveaux.
Définissez des règles d’exception pour différer automatiquement les CVIT.

Cas d'utilisation

Les conteneurs sont un excellent moyen de déployer et de faire évoluer des applications sur plusieurs environnements avec moins de frais généraux et une portabilité accrue. Cependant, les vulnérabilités dans les images de conteneurs peuvent présenter un risque pour l’hôte sous-jacent et, en fin de compte, pour l’infrastructure où les conteneurs ont été lancés à partir de ces images. Bien qu’il existe de nombreux produits de sécurité des conteneurs qui analysent les images des conteneurs pour détecter les vulnérabilités, il existe quelques considérations et problèmes associés à la correction des vulnérabilités. Réponse aux vulnérabilités pour conteneurs peut aider à résoudre divers problèmes ou cas d’utilisation impliqués dans le rattrapage des vulnérabilités d’image de conteneur. Explorez des façons de tirer parti du Réponse aux vulnérabilités pour conteneurs module :

Contexte d'exécution

Les vulnérabilités des images de conteneurs peuvent être découvertes en analysant l’image aux étapes suivantes du cycle de vie de l’application.

Étape 1 : lorsque les images sont en cours de construction dans le pipeline CI/CD.
Étape 2 : Lorsque les images sont publiées dans le registre
Étape 3 : lorsque les images sont déployées pour l’exécution.

S’il est important d’identifier les vulnérabilités le plus tôt possible à l’étape 1 et à l’étape 2, il est tout aussi important d’effectuer une analyse des images déployées dans un environnement d’exécution. Il offre les avantages suivants :

identifiant toutes les nouvelles vulnérabilités et expositions courantes (CVE) publiées.
Fournir une visibilité précise de la situation vis-à-vis du risque des applications déployées.
Classer par ordre de priorité les vulnérabilités qui doivent être résolues. Le contexte d’exécution en termes de services d’application ou de services d’entreprise affectés en raison d’une vulnérabilité peut aider à établir des priorités.

Réponse aux vulnérabilités pour conteneurs s’intègre aux produits de sécurité des conteneurs tels que Prisma Cloud Compute pour extraire les données de Palo Alto Networks vulnérabilité des images déployées dans l’exécution et enrichit les données de vulnérabilité avec les informations contextuelles d’exécution telles que les hôtes, les grappes Kubernetes, les services et les espaces de noms où ces images de conteneur sont déployées. Les clients qui utilisent la ServiceNow découverte Kubernetes peuvent voir les références créées à partir des vulnérabilités vers les entités Kubernetes pertinentes dans leur Base de données de gestion des configurations (CMDB). En plus d’enrichir les métadonnées, ServiceNow propose également un tableau de bord de reporting complet pour fournir des informations sur les tendances en matière de vulnérabilité et de rattrapage. Contexte d’exécution

Identifier la propriété

Conditions préalables

Métadonnées et références Kubernetes : pour Réponse aux vulnérabilités pour conteneurs renseigner les métadonnées Kubernetes (espace de noms, grappe, etc.) et les références aux Base de données de gestion des configurations (CMDB) entrées, vous devez implémenter la découverte Kubernetes à partir de Information Technology Operations Management (ITOM). La découverte Kubernetes remplit l’image Docker, les conteneurs Docker en cours d’exécution, les pods, les grappes Kubernetes, etc., dans le CMDB. Réponse aux vulnérabilités pour conteneurs identifie l’image Docker en CMDB fonction de l’ID de l’image, puis identifie les entités Kubernetes connexes et remplit les références à ces entités à partir des éléments vulnérables.
Métadonnées dans le cloud et étiquettes d’image Docker : Réponse aux vulnérabilités pour conteneurs remplit également les étiquettes d’image Docker, les ID de compte dans le cloud, les régions où une image est déployée. Ces données sont conservées dans l’enregistrement « Image du conteneur détecté » associé à l’élément vulnérable. Il n’existe aucune condition préalable pour renseigner ces données. Réponse aux vulnérabilités pour conteneurs utilise les données renvoyées par les produits de sécurité des conteneurs (par exemple, Palo Alto Prisma Cloud Compute) pour renseigner ces entrées.

La propriété de la correction d’une vulnérabilité dans une image de conteneur peut varier d’une organisation à l’autre. Ces informations peuvent être saisies à différents endroits. Certaines organisations utilisent des étiquettes d’image Docker comme moyen d’identifier les équipes d’application qui possèdent une certaine image de conteneur, tandis que d’autres organisations peuvent utiliser l’espace de noms Kubernetes ou le compte cloud où une image de conteneur est déployée pour identifier le bon propriétaire.

Réponse aux vulnérabilités pour conteneurs fournit les éléments de modèle de données nécessaires pour pouvoir capturer et utiliser les étiquettes d’image Docker, les métadonnées de grappe/service/espace de noms Kubernetes ou les métadonnées du compte dans le cloud (ID de compte dans le cloud, région, fournisseur, etc.) dans le module « Règles d’affectation » et affecter automatiquement les vulnérabilités à la bonne équipe d’application en fonction des métadonnées de l’image ou de l’environnement d’exécution.

Identification de la propriété

Suivre les vulnérabilités dans les images de base

Conditions préalables

Pour que la propriété « Image de base » soit renseignée dans Réponse aux vulnérabilités pour conteneurs, les images de base doivent être configurées explicitement dans la Vulnerability Response Integration with Palo Alto Networks Prisma Cloud Compute console. Pour plus d’informations sur la configuration des images de base dans Prisma Cloud, consultez https://docs.paloaltonetworks.com/prisma/prisma-cloud/prisma-cloud-admin- compute/vulnerability_management/base_images.

Réponse aux vulnérabilités pour conteneurs Permet de créer des enregistrements de vulnérabilité distincts pour une couche de base afin qu’ils puissent être affectés à une autre équipe.

Suivez les vulnérabilités identifiées dans une image de système d’exploitation de base telle qu’Alpine à partir des vulnérabilités détectées dans d’autres couches de l’image du conteneur. De nombreuses organisations ont des équipes dédiées qui sont chargées d’appliquer des correctifs aux images du système d’exploitation de base et de les mettre à la disposition de toutes les équipes d’application. Image de base

Définir la granularité pour les éléments vulnérables

Conditions préalables

Configurez la granularité des CVIT en accédant à Tout > Conteneur Vulnerability Response > Administration > Configurer la granularité VI.

Granularité VI

Par défaut, un élément vulnérable est créé pour chaque combinaison unique de CVE et de la version de l’image Docker (référence + balise). Toutefois, quelques images Docker peuvent être déployées dans plusieurs espaces de noms Kubernetes et chaque espace de noms peut appartenir à différentes unités ou équipes commerciales. Chaque équipe peut suivre sa propre cadence pour déployer de nouvelles versions d’images de conteneurs afin de corriger les vulnérabilités. Pour prendre en charge ce scénario, Réponse aux vulnérabilités pour conteneurs vous permet de définir la granularité des éléments vulnérables : indique si un élément vulnérable doit être créé pour chaque espace de noms/grappe/service Kubernetes, même pour chaque combinaison unique de version d’image Docker et de vulnérabilité.

Granularité VI

Dans l’exemple, vous pouvez voir deux éléments vulnérables créés pour la même combinaison d’image Docker et de CVE. L’un pour l’espace de noms Kubernetes 'k8s-finservco-loans' et l’autre pour 'k8s-finservco-wealthandinsurance'.

Identifier les services impactés à l’aide de l’identification des services basée sur les balises

Conditions préalables

Identifiez les différents services dans votre application et définissez les balises/paires clé-valeur qui représentent ces services.
Déployez des images Docker et des pods Kubernetes avec ces balises ou étiquettes.
Déployer Découverte Kubernetes ITOM Définissez les « Services basés sur les balises » avec les balises ou les étiquettes appropriées.
Déployer Découverte Kubernetes ITOM
Définissez les « Services basés sur les balises » avec les balises ou les paires clé-valeur appropriées.
Importer des données de vulnérabilité à l’aide ServiceNow de Réponse aux vulnérabilités pour conteneurs

Le calcul du risque pour les éléments vulnérables peut être effectué en examinant le CI (image Docker) et la criticité des services associés dans CMDB. Toutefois, pour faciliter l’identification des services impactés, Réponse aux vulnérabilités pour conteneurs propose une identification des services basée sur les balises.

Lorsque des pods ou des entités Kubernetes sont publiés avec des clé-valeurs ou des étiquettes correspondant aux clé-valeurs définies dans tout « Service basé sur les balises » dans ServiceNow, Réponse aux vulnérabilités pour conteneurs il établit automatiquement la relation entre une image Docker et le service d’application impacté, et utilise la criticité de ce service d’application dans le calcul des risques.

Le flux est le suivant :

Réponse aux vulnérabilités pour conteneurs Importe les données de vulnérabilité à partir du produit de sécurité de conteneur.
Pour chaque élément vulnérable de conteneur, Réponse aux vulnérabilités pour conteneurs remplit l’image Docker à partir de CMDB laquelle présente la vulnérabilité.
Réponse aux vulnérabilités pour conteneurs examine ensuite les étiquettes d’image Docker ou les étiquettes/clés-valeurs publiées avec les pods Kubernetes où cette image est déployée. Cette image est disponible dans CMDB si la découverte Kubernetes est en cours d’exécution.
Réponse aux vulnérabilités pour conteneurs recherche ensuite « Services basés sur les balises » CMDB avec les mêmes paires clé-valeur correspondantes définies.
Réponse aux vulnérabilités pour conteneurs utilise la « criticité opérationnelle » du « service basé sur les balises » correspondant (le cas échéant) pour calculer le risque d’un élément vulnérable de conteneur.

Suivi des vulnérabilités

Définition des cibles de rattrapage

ServiceNow permet aux responsables des vulnérabilités de définir des « règles de cibles de rattrapage » pour pouvoir définir des accords sur les niveaux de service (SLA) destinés à corriger les vulnérabilités trouvées dans les images des conteneurs. La date cible de rattrapage peut être définie en fonction d’une condition ou d’un critère sur les métadonnées d’image ou les informations de vulnérabilité. Les propriétaires de rattrapage reçoivent une communication par e-mail sur les vulnérabilités qui approchent de la date d’échéance. Définir une cible de rattrapage

Identification des vulnérabilités corrigées

Contrairement aux vulnérabilités d’hôte qui peuvent être corrigées en appliquant un correctif sur un hôte, les vulnérabilités des conteneurs ne peuvent pas être corrigées. De nouvelles versions d’images de conteneurs doivent être créées et déployées pour remplacer les anciennes versions. Les nouvelles versions ont un identifiant différent (ID d’image) par rapport aux versions précédentes, ce qui rend difficile le suivi des vulnérabilités qui ont déjà été corrigées.

ServiceNow Identifie les vulnérabilités qui ont été signalées dans les versions précédentes des images de conteneur mais résolues dans la dernière version de l’image et déplace automatiquement ces vulnérabilités vers l’état « Fermé/Corrigé » afin que les équipes de sécurité aient toujours une visibilité précise sur la dernière situation vis-à-vis du risque.

Gérer les exceptions

Les équipes d’application ou les propriétaires de rattrapage pour les vulnérabilités peuvent avoir besoin de la possibilité de demander une exception pour les raisons suivantes.

Un contrôle d’atténuation est déjà en place
Risque accepté
En attente d’une fenêtre de maintenance pour pousser le correctif.

ServiceNow Permet aux administrateurs de sécurité de définir plusieurs niveaux d’approbateurs pour les demandes d’exception. Vous pouvez également définir des règles d’exception automatique qui peuvent être utilisées pour différer automatiquement les vulnérabilités correspondant à une condition donnée. Exceptions

Exceptions

Nouveautés

Pour en savoir plus sur les nouveautés et les changements dans Yokohama, consultez les notes de Yokohama publication.

Commencez

Pour obtenir une vue d’ensemble de Opérations de sécurité dans votre Now Platform instance, consultez Présentation des opérations de sécurité.
Pour en savoir plus sur toutes les Opérations de sécurité applications disponibles au téléchargement à partir de , ServiceNow Storeconsultez Opérations de sécurité et ServiceNow Store.